DHCP Snooping

1.DHCP Snooping的基本原理:

开启了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。

简单一句话,就是IP地址只能从我指定的信任接口获取,其它接口发过来的报文我都不信任,不接受,也不分配IP地址。
在这里插入图片描述

2.使用场景:DHCP服务器------SW-----PC  这个是正常的典型网络PC通过DHCP获取IP地址,如果这个时候SW下面再挂接一个路由器,或者是其它的DHCP服务器时,PC有可能会获取到别的IP地址具体如下图

在这里插入图片描述

3.开启了DHCP后,如下图,会生成一个绑定表,并且只有指定的端口才可以发送报文进行DHCP的分配 ,其它端口的报文全部丢弃。在这里插入图片描述

实验拓扑:

#                                                                               

sysname PE1

#                                                                               

dhcp enable       //开启DHCP服务                                      

#                                                                               

dhcp snooping enable      //开启DHCP snooping功能                                    

#

interface GigabitEthernet1/0/1 

 dhcp snooping enable         //在接入层的所有端口开启

#

interface GigabitEthernet1/0/2   

 dhcp snooping enable         //在接入层的所有端口开启                          

#

interface GigabitEthernet2/0/1

 dhcp snooping trusted          //在接DHCP服务器或者中继端口开启端口信任,只有这个端口分配过来的IP我才会接受。

#

return

这里只做最主要最重要的相关配置,还有其它特别优化的配置请自行去研究。
在这里插入图片描述
参照原文:https://jingyan.baidu.com/article/acf728fd78804ef8e510a3d0.html

发布了18 篇原创文章 · 获赞 1 · 访问量 301
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 技术黑板 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览